Имя: Worm/Conficker Обнаружен: 14/01/2009 Вид: Червь В реальных условиях: Да Отмеченные факты заражения: Средний Потенциал распространения: Средний Потенциал повреждений: Средний Файл статистики: Нет Версия IVDF: 7.01.01.115 - среда, 14 января 2009 г.
Общее Методы распространения: • Локальная сеть • Подключенные сетевые диски • Одноранговая сеть Псевдонимы (аliases): • Symantec: W32.Downadup.B • Kaspersky: Net-Worm.Win32.Kido.fw • F-Secure: Worm:W32/Downadup.gen!A • Sophos: Mal/Conficker-A • Panda: Trj/Downloader.MDW • Grisoft: I-Worm/Generic.CJY • Eset: a variant of Win32/Conficker.AE worm • Bitdefender: Win32.Worm.Downadup.Gen Похожее обнаружение: • Worm/Kido Операционные системы: • Windows 95 • Windows 98 • Windows 98 SE • Windows NT • Windows ME • Windows 2000 • Windows XP • Windows 2003 Последствия: • Загружает вредоносные файлы • Создает вредоносные файлы • Изменение реестра • Использует уязвимость ПО • Позволяет несанкционированно подключиться к компьютеру Файлы Создаются собственные копии: • %все папки общего доступа% \RECYCLER\S-%Число% \%случайная буквенная комбинация% .vmx • %ProgramFiles%\Internet Explorer\%случайная буквенная комбинация% .dll • %ProgramFiles%\Movie Maker\%случайная буквенная комбинация% .dll • %SYSDIR% \%случайная буквенная комбинация% .dll • %TEMPDIR% \%случайная буквенная комбинация% .dll • %ALLUSERSPROFILE%\Application Data\%случайная буквенная комбинация% .dll Создается файл: – %все папки общего доступа% \autorun.inf Файл является безвредным текстовым файлом со следующим содержимым: • %random comments% shellexecute rundll32.exe %Пути с именами файлов к копиям вредоносного ПО% ,%случайная буквенная комбинация% %random comments% – %SYSDIR% \%случайная комбинация из двух букв% .TMP Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра. – HKLM\SYSTEM\CurrentControlSet\Services\ %случайные слова% \Parameters\ • ServiceDll" = "%Пути с именами файлов к копиям вредоносного ПО% " – HKLM\SYSTEM\CurrentControlSet\Services\ %случайные слова% \ • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs "Type" = "4" "Start" = "4" "ErrorControl" = "4" Изменяются следующие ключи реестра: – [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc] Прежнее значение: • "Start"=dword:00000003 Новое значение: • "Start"=dword:00000004 – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv] Прежнее значение: • "Start"=dword:00000003 Новое значение: • "Start"=dword:00000004 – [HKLM\SYSTEM\CurrentControlSet\Services\BITS] Прежнее значение: • "Start"=dword:00000003 Новое значение: • "Start"=dword:00000004 – [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc] Прежнее значение: • "Start"=dword:00000003 Новое значение: • "Start"=dword:00000004 – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Новое значение: • "Hidden"=dword:00000002 "ShowCompColor"=dword:00000001 "HideFileExt"=dword:00000000 "DontPrettyPath"=dword:00000000 "ShowInfoTip"=dword:00000001 "HideIcons"=dword:00000000 "MapNetDrvBtn"=dword:00000000 "WebView"=dword:00000000 "Filter"=dword:00000000 "SuperHidden"=dword:00000000 "SeparateProcess"=dword:00000000 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее. Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация: – Список паролей: • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111; 111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345; 123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer; 123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222; 22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444; 4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555; 555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666; 66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777; 87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999; 9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa; abc123; academia; access; account; Admin; admin; admin1; admin12; admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa; asdzxc; backup; boss123; business; campus; changeme; cluster; codename; codeword; coffee; computer; controller; cookie; customer; database; default; desktop; domain; example; exchange; explorer; file; files; foo; foobar; foofoo; forever; freedom; fuck; games; home; home123; ihavenopass; Internet; internet; intranet; job; killer; letitbe; letmein; login; Login; lotus; love123; manager; market; money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass; nopassword; nothing; office; oracle; owner; pass; pass1; pass12; pass123; passwd; password; Password; password1; password12; password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq; qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root; root123; rootroot; sample; secret; secure; security; server; shadow; share; sql; student; super; superuser; supervisor; system; temp; temp123; temporary; temptemp; test; test123; testtest; unknown; web; windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn; zxcxz; zzz; zzzz; zzzzz Генарация IP адресов: Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами. Процесс инфицирования: Выбранный компьютер начинает скачивать вредоносные программы. Загруженный файл сохраняется на удаленном компьютере в следующем виде: .\RECYCLER\S-%Число% \%случайная буквенная комбинация% .vmx Хосты – Успешно блокирован доступ к следующим доменам: • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops; centralcommand; cert.; clamav; comodo; computerassociates; cpsecure; defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot; f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti; k7computing; kaspersky; malware; mcafee; microsoft; nai.; networkassociates; nod32; norman; norton; panda; pctools; prevx; quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus; spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus; wilderssecurity; windowsupdate Разное Интернет соединение: Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами: • http://www.getmyip.org • http://www.whatsmyipaddress.com • http://getmyip.co.uk • http://checkip.dyndns.org Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения: • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com; cnn.com; ebay.com; msn.com; myspace.com Модификация файла: Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение. Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя. Используемый метод: Внедряется в следующие API-функции: • DNS_Query_A • DNS_Query_UTF8 • DNS_Query_W • Query_Main • sendto Данные файла Язык программирования: Программа была написана на MS Visual C++. Паковщик: Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Описание добавил
Alexander Neth в(о) пятница, 16 января 2009 г. Описание обновил
Alexander Neth в(о) пятница, 17 июля 2009 г.
Назад
.
.
.
.